침입자와의 '빅 매치'에서 승리하라

"침입자와의 '빅 매치'에서 승리하라"

심도 있는 종단간 보안을 위한 최적의 실행 방안

Snapshot:
네트워크를 보호하는 것은'빅 매치'에서 승리하는 것과 같다. 이 빅 매치의 양편은 모두 훌륭한 선수들과 현명한 코치를 보유하고 있지만 보다 효과적인 게임 전략과 긴밀한 팀워크를 발휘하는 쪽에게 승리의 영광이 돌아간다. 이처럼, 침입자와의 '한판 승부'를 준비하는 기업들은 비즈니스를 보호하는 전문가과 기술의 시너지 효과를 거둘 수 있는 최적의 실행 방안과 함께, 견고한 제품, 다중 계층의 디자인을 결합한 보안 전략을 갖추어야 한다. 보안 운영 업체나 네트워크 인프라는 보안 위협을 신속히 밝히고 예방하며 적응할 수 있도록 상호 협력해야 한다.

'슬래머(Slammer)'나 '블래스터(Blaster)'와 같은 웜의 놀라운 전파 속도는 다양한 수준의 보안을 요구하고 있으며, 네트워크 전체에 대한 위협을 완화하기 위해 다양한 보안 기능이 상호 협력해야 할 필요성이 대두되었다. 이러한 심도 있는 보안 전략의 대표적인 사례는 'SAFE'로, 기술 자산을 비롯해 이에 의존하고 있는 기업들을 보호하기 위한 보안 설계, 기술, 최적 실행 방안을 결합한 시스코의 청사진이다.



강력한 공격이 최고의 수비


가장 진보된 보안 제품이라 하더라도 이를 운영하는 사람들이 주의를 기울이지 않거나 일관성이 결여될 경우 그 효과가 제한될 수밖에 없다. 시스코의 VPN과 보안 마케팅 매니저인 앤드류 피터스(Andrew Peters)는 정책(policies), 프로세스(processes), 사람(people),.제품(products) 등 '4P' 가 보안을 얼마나 강하게 하고 약하게 하는지를 결정하는 중요한 요인이라고 지적했다. 그는 "기술 자체만으로는 모든 보안 문제를 해결할 수 없다"면서, "최적의 실행 방안이 더 효과적이며 이것이 완벽하게 이루어지지 않는다면 아무리 좋은 기술을 사용하고 있더라도 쓸모가 없게 된다"고 밝혔다.
네트워크를 보호하는 것이 기본이며 구내, 데이터 센터, 풀 서비스 지사, 재택 근무자 등 다양한 네트워크 환경은 각각의 특별한 보안 과제를 안고 있다. 최적 실행 방안은 사후 대응이 아닌 사전 예방으로부터 시작된다. 강력한 보안이 구현된다면 많은 사건들이 탐지되고 자동으로 차단되기 때문에 보안 담당자들이 대응할 필요성도 적어지고 사후 조치 역시 보다 효율적으로 이루어질 수 있게 된다.

보안 정책


보안 정책은 누가 언제 어디에서 무엇을 할 것인지를 규정하고 있다. 시스코의 Network Security 실행을 위한 Advanced Services의 사업 개발 매니저인 랜스 헤이든은 "이사진에서 말단 사원에 이르는 모든 직원들과 더불어 비즈니스 전략과 긴밀히 연관되어야 한다"면서, "하향식 유용성에 대해서도 고려해보아야 하는데, 감독이나 통제의 문제가 발생할 수도 있기 때문"이라고 지적했다.
보안 상태 평가는 취약점을 밝혀내고 교정 방안을 제시할 수 있다. 헤이든은 시스코 고객을 위한 보안 상태 평가를 수행한 결과 완벽한 보안 정책을 수립한 고객을 본 경우가 거의 없다고 지적했다. 즉, 기업들은 차세대 보안 위협에 대응할 준비를 거의 갖추지 못하고 있다는 것이다.
헤이든은 강력한 보안 정책을 수립하는 데에는 많은 노력이 든다는 점은 인정하지만 그만한 가치가 충분히 있다고 설명한다. 그는 "자사가 IT 의존적이라면 IT는 비즈니스에 부합되어야 하며, 여기에는 보안이 포함되어야 한다. 만일 보안과 비즈니스가 적절히 조화를 이루지 못하면 문제가 발생하게 된다"고 설명했다. 기업은 또한 실수로부터 교훈을 얻어야 하며 침해 당한 곳을 교정해야 하는데, 보안 정책을 통해 실행하는 것이 보다 쉬운 방안이 된다.
헤이든은 효과적인 보안이 부족한 원인에 대해 기업 내부 및 조직 간의 커뮤니케이션이 부족하기 때문이라고 지적했다. 그는 해커의 커뮤니티가 커뮤니케이션하는 것에 비해 기업 내부의 커뮤니케이션이 부족할 경우 이미 약점을 노출한 상태라고 설명했다. 그는 보안 정책 수립에서의 세가지 함정과 이를 극복하는 방안에 대해 다음과 같이 밝히고 있다.

첫 번째 함정은 기업 환경과 조화를 이루지 못하는 정책이다. 그 결과, 사용자들은 보안 정책에 위반되지 않는 방법을 찾게 되거나 정책이 강력히 집행되지 않는다는 것을 발견하게 된다. 예상에 반대되는 이러한 결과로 인해 보안 문제는 또 다시 새롭게 대두될 수밖에 없다. 보안 담당자들은 자사의 비즈니스와 업계에 대해 학습하고 비즈니스 환경의 범주 내에서 정책을 수립함으로써 이러한 문제를 해결할 수 있다. 금융 서비스나 의료 기관 등과 같이 규제를 받는 업종은 규칙을 엄격히 준수해야 하기 때문에 정책에 이를 반영해야 한다. 병원이나 은행들간에 정보를 공유하는 것도 긴밀한 보안을 유지하는데 도움이 될 수 있다.
두 번째 함정은 운영 환경을 따르지 않는 정책으로, 정책 집행이 거의 이루어지지 않게 되는 것이다. 보안 담당자들은 정책의 효과를 위해 네트워크를 테스트해 보아야 한다. 대표적인 사례는 느슨한 비밀번호 정책이다. 시스코의 보안 상태 평가 팀은 대개의 경우 몇 분 이내에 사용자 비밀번호 중 90%를 알아낼 수 있는 것으로 나타났다. 또 다른 사례로는 방화벽 규칙이 미리 규정된 액세스 권한과 부합되지 않는 경우이거나 기업들이 안전한 무선랜을 구축하지 못할 경우에 해당된다.
헤이든은 "무선 기술은 본래 안전하지 못한 특징을 갖고 있다"면서, "안전하지 못하게 하는 것은 바로 사람들이다.
약점이나 인증되지 않은 액세스 포인트를 찾기 위해서는 바깥으로 나가 무선랜의 보안을 테스트해 보아야 한다. Cisco WLSE(Wireless LAN Solution Engine)과 같은 시스코 솔루션은 모호한 액세스 포인트를 탐지할 수 있을 뿐만 아니라 건물 어디에 위치해 있는지를 찾아낼 수도 있기 때문에 적극적인 보안 테스트와 모니터링을 실행할 수 있다"고 밝혔다.
세 번째 함정은 정책이 기업 문화와 배치될 경우이다. 많은 경험과 노하우를 갖고 있는 사람들에게 정책 수립에 대한 의견을 수렴하지 않아 정책이 효과를 거두지 못하는 상황에 해당된다. 예를 들어, 보안 담당자가 고객 관계 관리(CRM) 애플리케이션을 보호하는 것에 대해 정책을 수립하기 전에 고객 서비스 관리자들에게 컨설팅을 의뢰하지 않는 경우이다.
고객 서비스 관리자는 자신의 부서가 CRM을 어떻게 사용하고 있는지 누구보다 잘 알고 있다. 만일 수립된 정책에 대해 고객 서비스 관리자가 비즈니스를 수행하는데 장애가 된다고 느끼면 보안 담당자를 신뢰하지 않게 되고 정책을 따르지 않는 방법을 모색하게 된다.
기업 전체에 대해 보안의 기여도가 높다는 인식을 확산시킴으로써 이러한 문제를 해결할 수 있다. 비즈니스 그룹은 보안이 자신들에게 영향을 미칠 수 있다는 생각을 갖고 정책 개발에 기여해야 한다. IT 관리자들은 조직 내부의 모든 사람들에게 보안의 가치에 대해 적극적으로 홍보하고 모든 비즈니스 그룹이 참여하도록 독려해야 한다. 헤이든은 "최고 경영진에서 말단 사원에 이르기까지 전사원에 대한 교육과 인식이 없이는 어떠한 보안 정책도 효과를 거두기 어렵다. 사람들은 보안 정책이 귀찮은 것이 아니라 기업과 개인 모두의 성공에 있어서 중요한 요인이라는 것을 이해하고 있어야 한다"고 설명했다.

보안 관리


보안 관리를 위한 최적의 실행 방안은 네트워크의 다양한 보안 장비로부터 생성되는 엄청난 양의 데이터를 처리할 수 있는 툴과의 공조가 필수적이며, 적절한 형태로 기기에 대한 구성과 변경을 규격화한 형태로 제공할 수 있어야 한다.
시스코의 Secure Managed Networks 그룹 마케팅 담당 이사인 밥 디미코(Bob Dimicco)는 "시스코의 고객들은 명령 라인 인터페이스(CLI)를 통한 보안 관리가 취약점을 초래하고 있다는 것을 인식하고 있다"면서, "CLI를 사용해 보안을 관리하기에는 너무나 많은 장비가 있기 때문에 쉽지 않다. 어디에서나 정책을 집행할 수 있는 방법으로의 관리 툴이 요구된다"고 밝혔다.
CiscoWorks VMS(VPN/Security Management System)는 네트워크 보안을 책임지고 있는 여러 팀간의 규칙을 토대로 한 관리를 규정하고 있다. 예를 들어, 보안 운영 팀은 정책을 만들고 중앙 네트워크 관리 팀은 구현 및 집행을 담당하며 원격지 관리자들은 모두 동일한 애플리케이션을 통해 로컬화할 수 있다.

CiscoWorks VMS는 다음과 같은 최적 관리 실행 방안을 제공해준다.

계층화된 규칙 정의 _ 상위 계층의 규칙은 방화벽이나 침입 탐지 시스템(IDS) 등 모든 관련 장비에 대한 구성으로 적용되어 일관된 정책 집행이 가능해진다.
관리 변경 _ CLI를 사용하는 경우의 위험성으로 인해 실제 장비 구성을 트래킹하는데 오류가 발생할 수 있다. CiscoWorks VMS는 어떠한 장비로 누가 무슨 일을 했는지 추적할 수 있어 확실한 기록을 남겨준다.
로컬화된 관리 _ 일부 정책은 반드시 지켜져야 하며 전세계적으로 통용되는 반면, 몇몇은 각 지역에 맞게 특성화될 수 있다. CiscoWorks VMS는 로컬 관리자들이 할 수 있는 부분이 무엇인지 제한하는 역할을 규정하며 무슨 일을 했는지 추적할 수 있다.
감사 규정 _ 완벽한 리포팅은 규제를 따르는 것을 단순화해준다.

Cisco Secure ACS(Access Control Server) 데이터베이스를 위해 정확한 사용자 인증을 개발하고 유지하기 위한 사업 부서별 협업은 사용자 집단에서의 보안 정책 인지를 더욱 향상시킬 수 있다. 각각의 사업 부서는 사용자들이 애플리케이션과 네트워크 서비스에 어떻게 액세스하는지에 대해 규정할 수 있다.

보안 관리자들은 기업 전체에 분산되어 있는 다양한 장비로부터 생성되는 엄청난 양의 데이터를 처리하는데 정신이 없어 중요한 이벤트를 놓치는 경우가 많다.
CiscoWorks SIMS(Security Information Management System)은 위협 완화 및 공격에 대한 신속한 대응을 위해 유용한 방법으로 보안 데이터를 정격화하고 집합시키며 상호 관련시키며 시각화해주는 확장 가능한 방법을 제공한다.
종합적인 보안 솔루션은 보안 장비 뿐만 아니라 네트워크 장비의 관리까지 할 수 있어야 하며, 시스코는 이와 같은 두 가지 관리 기능을 모두 제공하는 솔루션을 제공하고 있다. AutoSecure와 같이 혁신적인 Cisco IOS? 소프트웨어 기능은 네트워크의 가용성을 보장하며, Em- bedded Syslog Manager나 SNMPv3 (Simple Network Manag- ement Protocol version 3), SSH(Secure Shell) 등과 같은 기능을 포함한 보안 툴과 네트워크 관리 툴을 통합했다.
Embedded Syslog Manager는 IOS logger로부터 생성되는 syslog 메시지를 상호 연관 및 필터링, 라우팅해주는 맞춤화된 프레임워크를 제공해준다. SNMPv3는 네트워크의 패킷을 인증 및 암호화해줌으로써 장비에 대한 안전한 액세스 기능을 제공한다. SNMPv3는 SNMP 패킷의 DES(Data Encryption Standard) 암호화를 사용할 뿐만 아니라, 오용 방지를 위한 R/W 비밀 번호나 호스트 기반 액세스를 이용한다.
SSH의 경우, 자사 네트워크는 텔넷(Telnet) 세션에 대한 암호화를 통해 라우터로의 안전하며 원격의 접속을 지원할 수 있다. SSH는 텔넷 세션에 대해 원격지 콘솔과 네트워크 라우터 사이의 비밀 번호를 포함한 모든 트래픽을 암호화한다. SSH가 트래픽을 누구나 알아볼 수 없는 형태로 전송하기 때문에 네트워크 관리자들은 일반적인 사람이 볼 수는 없는 원격 액세스 세션을 실행할 수 있다. Cisco IOS 소프트웨어의 SSH 서버는 공개적이며 상업적으로 이용 가능한 SSH 클라이언트와 연동한다. 이러한 기능은 통합된 지사 보안 솔루션에는 필수적인 사항이다.


구내 네트워크


구내 네트워크는 이기종의 환경으로 구성되어 있으며, 실제로 시스코의 SAFE 청사진도 몇몇의 보안 '모듈'로 나뉘어 있고 공중 네트워크와 고객사에 연결되는 외부 네트워크를 비롯해 내부 기업 사용자들을 위한 네트워크로 이루어져 있다.
대부분의 기업들은 웜이나 바이러스, 분산 서비스 거부(DDoS) 공격과 같은 외부 위협에 대한 경보 체제를 구동하고 있지만 내부 해커들이 보다 위험한데, 이들을 탐지해내기가 어렵기 때문이다. 시스코의 New Security System Technologies 사업부의 제품 마케팅 매니저인 러셀 라이스(Russell Rice)는 "피해를 최소화하기 위해서는 네트워크를 구획별로 나누는 것이 중요하다"면서, "중요한 자산과 서비스를 보호하기 위해 네트워크를 구축할 필요가 있다"고 지적했다.
현재 대두되고 있는 구내 보안 위협은 VoIP 트래픽에서의 침투 가능성이 높아지고 있다.
시스코는 2001년 SAFE를 발표한 이후 심도 있는 보안 전략을 강화하는데 주력하고 있다. 이러한 보안 솔루션 "계층(layers)"은 Cisco IOS 소프트웨어와 전용 어플라이언스, 시스코 라우터와 스위치용 통합 모듈에 내장되어 있다. 시스코의 보안 솔루션은 다음과 같이 세 가지 범주로 구성된다.

위협 방어 _ 네트워크에서의 부적절한 행동 관찰. 대표적인 것으로는 방화벽을 비롯해 네트워크 및 호스트 기반의 침입 탐지/차단 시스템(IDS/IPS)을 들 수 있다.
신뢰 및 신원 확인 관리 _ 정책에 따라 사용자 및 장비에 대한 서비스 허용 여부 결정. RADIUS(Remote Access Dial-In User Services) 액세스 컨트롤 서버가 대표적이다.
안전한 접속 _ 인터넷과 같은 공중 링크에 대한 기밀성 제공. 암호화 기능이 구현된 가상사설망(VPN)이 대표적인 사례이다.

구내 네트워크의 구축 및 구성, 관리를 위한 최적 실행 방안에 대한 상세한 정보는 SAFE 백서에 기술되어 있다. 데이터센터나 풀 서비스 지사에 적용될 수 있는 보다 중요한 실행 방안은 다음과 같다.

■ 주요 호스트에 대한 공격을 완화하기 위해 서명 기반의 솔루션 외에 행태 기반 호스트 IPS 소프트웨어 구축. Cisco Security Agent에 의해 보호되는 시스템은 Slammer나 Blaster 웜을 성공적으로 차단할 수 있다('Cisco Network Admission Control' 박스 기사 참고).
■ 바이러스와 웜의 번식을 차단하기 위해 웹 서버의 아웃바운드 세션 허용 금지.
■ 라우터와 스위치를 위해 특정한 호스트 이름과 비밀 번호 설정, 비밀 번호의 정기적인 변경.
■ 차단을 위해 필터링과 가상랜(VLAN)을 사용, 사용자 차별화.
■ 대역을 벗어난 관리 네트워크를 사용하고 관리 트래픽을 암호화한다. SNMPv3는 암호화를 지원한다.
■ DDoS 공격의 피해를 최소화하기 위해 CAR(Committed Access Rate)와 같은 Cisco IOS 서비스 품질(QoS) 기능으로 데이터 흐름 제한('네트워크 DoS 공격 완화 방안' 박스 기사 참조).
■ 허용되지 않은 HTML 트래픽과 웜을 차단하기 위해 NBAR (Network-Based Application Recognition) 구성할 것.
■ DAI(Dynamic ARP Inspection)와 DHCP(Dynamic Host Control Protocol) 스누핑(snooping) 등 스푸핑(spoofing)을 차단하기 위해 레이어 2 보안 기능 사용. 불필요한 방화벽과 라우터 서비스를 중지해야 한다. 그렇지 않을 경우 해커들에게 진입할 수 있는 여지를 제공하게 된다. 예를 들어, Cisco IOS 소프트웨어의 '원 클릭' 기능인 AutoSecure는 해커가 침입할 수 있는 라우터 서비스인 Finger, BOOTP, Proxy-ARP 등을 차단해주며 비밀번호 암호화와 TCP keepalives 등의 서비스 활성화를 통한 보호 기능을 제공해준다.
■ 서버 운영 시스템 소프트웨어가 최신 패치로 업데이트하도록 할 것. Slammer 웜은 공격 발생 6개월 전에 마이크로소프트가 발표한 패치의 알려진 취약점을 공략했다.
■ 802.1X 포트 기반 인증
■ 모든 기기에 대해 사용하지 않고 있는 포트를 차단할 것.
■ 사용자 비밀 번호를 특정 기간이 지나면 만료되도록 할 것. 강력한 비밀 번호 규칙 집행.
■ 무선랜을 안전하게 유지하기 위해 WEP 이상의 기술을 구현하고 인증되지 않은 액세스 포인트에 대한 정기적인 탐색을 실행할 것.
■ 권위 있는 외부 전문가를 초빙해 네트워크의 보안에 대해 정기적으로 감사를 받을 것.


Cisco Network Admission Control
시스코는 Network Admission Control (NAC)이 탑재된 Cisco Security Agent로 안티바이러스 및 안티웜(antiworm) 성능을 대폭 향상시켰다. 이는 다중 단계의 Cisco Self-Defending Network의 첫 단계에 해당된다. 2004년 중반에 선보인 Cisco NAC를 통해 기업들은 운영 체제 패치나 안티바이러스, 네트워크 액세스에 필요한 기기의 수정 상황 등을 알아낼 수 있다. 또한 규정에 따르지 않거나 잠재적으로 취약한 시스템에 대해 네트워크 액세스를 제한하거나 차단할 수 있다. 규정에 부합되지 않은 기기는 액세스가 거부되고 안전한 지역으로 격리되거나 컴퓨팅 리소스에 대한 액세스를 제한하고 정책을 따르도록 업그레이드나 패치를 다시 적용시킬 수 있다.
Cisco NAC은 다음과 같은 4가지 요소를 갖고 있다.

Cisco Trust Agent _ 엔드포인트 시스템에 탑재되는 소프트웨어로, 시스템의 보안 상태 정보를 수집하고 시스코 네트워크 액세스 기기와 커뮤니케이션을 진행한다. 시스코는 이 기술을 안티바이러스 공동 후원사인 네트워크 어쏘시에이츠, 시만텍, 트렌드 미크로 등의 업체와 안티바이러스 클라이언트 통합을 위해 라이선스하고 있다. Cisco Trust Agent는 Cisco Security Agent와 통합될 예정이다.
네트워크 액세스 장비 _ 액세스를 요청하는 엔드포인트로부터 호스트 보안 '기밀성'을 요구하고 정책 서버로부터 정보를 중계. 이후 액세스 기기에 대해 정책에 따라 액세스를 허용하거나 거부 또는 제한하는 출입 허용 제어 정책 집행.
정책 서버 _ 엔드포인트 보안 정보를 평가하고 적용할 적절한 액세스 정책 판단.
관리 시스템 _ Cisco NAC 관리는 시스코의 Integrated Security Management 솔루션과 연동될 예정이다. 이를 통해 네트워크 전반에 대한 정확한 보안 수준을 보장하도록 보안 정책을 수립하고 집행하며 모니터링할 수 있는 통합된 방법과 중앙 제어 형태의 손쉬운 사용 방법을 제공할 수 있게 된다.

Cisco NAC에 대한 상세 정보를 원할 경우, www.cisco.com/packet/161_6b2를 방문하기 바란다.


데이터 센터


IT 인프라의 중심은 데이터 센터라 할 수 있다. 데이터 센터는 기업의 비즈니스를 유지할 수 있도록 해주는 애플리케이션을 저장하고 있다. 여기에서의 최적 실행 방안은 심도 있는 설계를 통한 통합 보안에서 시작된다. 데이터 센터는 애플리케이션을 비롯해, 서버, 스토리지, 네트워크 등 보호되어야 하는 장비를 포함한 수많은 비즈니스 크리티컬한 리소스를 보유하고 있기 때문에 집합 및 코어 네트워크 계층 사이에 배치된 전용 서비스와 보안 서비스를 통합시키는 것이 매우 중요하다. 대규모 데이터 센터는 Cisco Catalyst? 6500 및 7600 시리즈 플랫폼용 통합 보안 모듈을 사용해 보안 서비스를 네트워크 인프라에 융화시킬 수 있다. 시스코의 선임 보안 마케팅 매니저인 그렉 메이필드(Greg Mayfield)는 "통합 모듈과 긴밀히 통합된 전용 보안 서비스는 데이터 센터 내부의 다양한 애플리케이션과 서버, 네트워크 환경을 동시에 보호하는데 필요한 높은 수준의 성능을 손쉽게 제공하며 관리될 수 있다"고 밝혔다.

데이터 센터 보안의 최적 실행 방안에 있어서 고려해야 할 가장 중요한 요소는 다음과 같다.

■ 데이터 센터를 보안 '지대' 구획으로 나누고 액세스 규칙이나 보안 지대의 상호 작용 방법에 대한 규칙 등을 포함해 각각의 정책을 규정해야 한다. 가상랜(VLAN)과 가상 SAN(VSAN)을 사용할 경우 다중 계층 애플리케이션 내부와 서로 다른 애플리케이션 사이에서 보안 지대는 서로 다른 계층(웹, 애플리케이션, 데이터베이스 등)으로 생성될 수 있다. 통합된 방화벽 모듈을 보안 지대 사이에 위치시킬 경우 무차별적인 보안 공격에 대해 서로 다른 애플리케이션과 서버 환경에 대한 보안을 향상시킬 수 있다.
■ 데이터 센터 설계에는 미심쩍은 행동에 대해 모든 서버와 스위치, 라우터를 관찰할 수 있는 네트워크 및 호스트 기반 IPS를 포함하고 있어야 한다. 그런 다음에는 밝혀진 악성 소스로부터 패킷을 차단하기 위해 방화벽을 자동으로 재구성하도록 IPS를 구성해야 한다.
■ 각 서버의 Cisco Security Agent는 패치와 유지 부담을 덜어줄 뿐만 아니라 바이러스와 웜의 공격을 완화해줄 수 있다.
■ 사용자들이 데이터 센터 애플리케이션에 대해 원격 액세스를 원할 경우, IPSec(IP Security) VPN이나 SSL(Secure Sockets Layer) VPN을 사용한다. 또한 백업 및 복제를 위해 원격지 데이터 센터를 연결할 때 VPN을 사용한다.

관리자들은 스토리지 영역 네트워크(SAN)을 외부 사용자의 접근으로부터 격리하고 Cisco MDS 9000 시리즈 스위치의 보안 기능을 사용해 SAN을 보호해야 한다. 예를 들면, 스토리지 관리자들은 Port Security와 안전한 파이버 채널, iSCSI(Internet Small Systems Computer Interface) 트래픽으로 포트를 닫고 가상 패브릭 사이의 절대적인 분할을 위해 가상 SAN을 구성해야 한다. 데이터 센터의 스토리지 네트워크 및 IP 네트워크로 보안을 통합함으로써 서비스의 가용성을 향상시킬 수 있으며 서버와 애플리케이션 복구와 관련된 비용도 절감할 수 있는 동시에 기밀한 비즈니스 크리티컬 정보도 보호할 수 있다.

FSB(Full-Service Branch) 오피스


지사로의 완벽한 서비스 구현은 구내 LAN을 논리적으로 확장한 것이지만 물리적인 거리로 인해 본사는 지사를 보호할 만한 능력에 제한을 받게 된다. 데이터 센터의 경우에도 최적의 실행 방안은 훌륭한 보안 설계에서 시작된다.
지사에서의 핵심적인 설계 고려 사항은 비용으로, 이것이 시스코가 음성, 비디오 및 데이터 트래픽을 보호하는데 있어서 통합된 서비스와 함께 단일한 IOS 기반의 라우터를 WAN에서 사용할 것을 권고하는 이유이다. 상당수가 전통적으로 구내로 규정되었던 이러한 서비스들은 AAA와 802.1X 지원을 포함한 향상된 인증과 VPN, 방화벽, IDS, 콘텐츠 필터링을 포함하고 있어야 한다. Cisco IOS 소프트웨어는 이러한 모든 서비스를 지원하며 손쉽게 구성 및 관리할 수 있는 통합된 지사 솔루션을 제공한다. 향상된 성능을 위해서 VPN 가속화 및 IDS 서비스용 하드웨어 모듈을 사용할 수도 있다. 또 다른 옵션은 라우터 바로 뒤에 보안 어플라이언스를 설치하는 것으로, 방화벽과 IDS 서비스를 제공하도록 할 수 있다.

지사에 완벽한 서비스를 제공하기 위한 최적의 실행 방안에는 다음과 같은 사항을 포함해야 한다.
■ 구내 네트워크와 데이터 센터에 대한 해커들의 '백 도어' 액세스를 차단하도록 VPN을 구성한다.
■ VoIP 트래픽이 WAN을 통과하는 곳에 음성 및 비디오 기능의 VPN(V3PN)을 구축한다.
■ 보안 정책을 준수하도록 액세스 컨트롤 리스트(ACL)를 구성한다.
■ 중요한 로컬 호스트와 서버에 Cisco Security Agent를 설치한다.

보다 상세한 정보는 Packet? 2003년 겨울호 "지사와 소규모 사무실을 위한 보안(www.cisco.com/packet/161_6b1)"을 참고하기 바란다.

재택 근무자


비즈니스를 위해 IT에 의존하는 대부분의 기업들은 생산성을 높이기 위해 홈 기반 및 모바일 직원, 또는 재택 근무자들에게 원격 접속 서비스를 제공하고 있다. 향상된 원격 접속 서비스는 기상 이변으로 인해 정상적으로 비즈니스를 수행할 수 없을 경우(허리케인 '이사벨'은 미국 정보 기관에 약 6천만 달러의 손실을 입힌 바 있다) 기업 사무실을 가정으로 원활하게 이동시켜줌으로써 기업의 생산성을 대폭 향상시켜준다. Cisco Business Ready Teleworker 솔루션은 직원들에게 집에서도 사무실에서와 마찬가지로 동일한 액세스 권한과 애플리케이션을 제공해줌으로써 향상된 비즈니스 지속성이 가능해진다는 것이 시스코의 VPN 및 보안 그룹 제품 매니저인 피트 데이비스(Pete Davis)의 설명이다.

전통적인 재택 근무자와 관련된 문제는 기업의 보안 프로파일에 중대한 불확실성을 안겨 준다는 점이다. 재택 근무자들은 인터넷과 같은 다른 네트워크에 직접 연결할 수도 있어 바이러스나 웜에 노출될 가능성이 높으며 이를 기업 네트워크에 전파시킬 우려도 제기된다. 해커들은 원격 근무자나 모바일 직원으로 가장해 네트워크로의 진입을 시도할 수 있다.

시스코의 원격 접속 VPN 솔루션을 통해 기업들은 내부 리소스를 인터넷으로 안전하게 재택 근무자들과 협력 업체들에게 확장할 수 있다. Cisco VPN 3000 시리즈 집선 장비를 비롯해, 원격 접속 VPN을 지원하는 시스코의 장비들을 사용할 경우, 기업들은 고가의 장거리 요금을 절감할 수 있으며 재택 근무자에 대한 내부 리소스의 고속 광대역 액세스를 제공할 수 있다. 시스코의 원격 접속 VPN 솔루션은 설치된 소프트웨어 클라이언트와 클라이언트가 없는 기술(Cisco VPN 3000 시리즈), 하드웨어 클라이언트 솔루션을 통해 이용 가능하다.

Cisco Business Ready Teleworker는 재택 근무자의 광대역(케이블이나 DSL) 모뎀 뒤에 Cisco 800 시리즈 라우터를 위치시킴으로써 언제나 안전하고 중앙에서 관리가 가능한 재택근무자 솔루션을 제공하고 있다. 이러한 안전한 솔루션은 집에서도 사무실에 있을 때와 동일한 사용자 애플리케이션(IP 텔레포니 포함)을 이용할 수 있게 해주기 때문에 비즈니스의 지속성을 향상시키고 네트워크 보안 문제에 대한 걱정 없이도 생산성을 높일 수 있다.
Cisco Business Ready Teleworker를 통해, 본사 네트워크는 기업 네트워크에 접속되어 있는 최종 사용자의 시스템 구성을 확인할 수 있다. Cisco NAC('Cisco Network Admission Control' 박스 기사 참고)를 사용할 경우가 이에 해당된다. 네트워크 관리자들은 언제든지 사용자의 보안 업데이트를 자동으로 실행할 수 있다. 또한 Cisco NAC는 핫스팟이나 다이얼 업으로부터 사용자 접속을 허용하기 전에 필요한 액티브 소프트웨어를 검사할 수도 있다.

본사 네트워크와 리소스를 보호하기 위해, 시스코는 재택근무자 보안을 위해 다음과 같은 최적 실행 방안을 권고하고 있다.

■ 표준 운영 체제 구성이나 애플리케이션 및 설비를 포함, 동일한 랩톱 PC에서의 기업 소프트웨어 이미지 요구. 일부 기업들은 표준 이미지 상단의 특정 소프트웨어를 겹쳐 쓰도록 부서에 권고하고 있다.
■ 재택근무자들에게 Cisco 831 IOS 기반의 라우터나 Cisco PIX? 501/506 Firewall 또는 Cisco VPN 3002 Hardware Client 등과 같은 정격의 VPN 액세스 방법을 사용한다. 정격화된 시스템은 다양한 접속 방법보다 관리하기가 한결 용이하다.
■ 비밀 번호를 자주 바꾸게 하는 등 엄격한 비밀번호 규칙 실행. 가장 안전한 방법은 비밀번호를 1회에 한정해 사용하도록 하거나 디지털 인증 시스템을 사용하는 것이다. 본사에서의 비밀번호 실행과 강력한 AAA 시스템은 재사용이 가능한 비밀번호와 관련된 위험을 낮출 수 있다.
■ WAN 에지 라우터와 방화벽 뒤에 원격 액세스 장비를 본사에 설치한다. 대규모로 구축될 경우, IDS 어플라이언스는 트래픽을 모니터링할 수 있다.
■ 러스 소프트웨어를 설치해 새로운 공격과 바이러스, 웜으로부터 시스템을 보호한다.

시스코는 Cisco IP Solutions Center로 재택근무자 네트워크 관리 비용을 낮춰주고 있다. 이 솔루션을 사용함으로써 IT 직원들은 중앙 사이트에서 모든 라우터 기반 재택근무자 엔드포인트를 관찰하고 문제를 해결하며 관리할 수 있다.

최종 목표는 자가 보호 네트워크(Self-Defending Network) 구현


시스코는 고객의 운영 방법을 용이하게 해주는 지능형 보안 시스템을 제공하고 있다. 시스코의 VPN 및 보안 서비스 그룹 보안 담당 이사인 스티브 콜렌(Steve Collen)은 "네트워크는 악의적인 행위를 탐지하고 즉시 대응할 수 있는 시스템 레벨의 보안을 갖추고 있어야 한다"면서, "시스코 보안 전략의 목표는 공격을 밝혀내고 차단하며 재발을 방지하기 위해 네트워크를 재구성할 수 있는 자가 보호 네트워크를 구현하는 것"이라고 밝혔다.

하지만, 자가 보호 네트워크는 효과적인 정책 집행을 위해 최적의 실행 방안을 일관되게 적용할 수 있는 운영자가 언제나 요구된다.

보안 콘텐츠에 대한 상세 정보.
백서나 최적 실행 방안, ROI 계산기, 그 밖의 통합 보안 관련 상세 정보를 원할 경우, www.cisco.com/powernow/packet을 방문하기 바란다.




Packet 지난 호 보기